マイナンバー連携とスマートメーターのセキュリティ
〔1〕スマートメーターでのマイナンバーの利用
マイナンバーの電気料金や契約への利用が認められたとすると、HEMS端末から、契約プランの変更、電力会社の契約切り替えを行えるようになる可能性がある。この場合、契約者はHEMS端末にマイナンバーを入力することになる。HEMS端末が暗号化通信(VPN注5やSSL注6など)で保護された回線で電力会社や売電会社と接続されていれば、ポータルサイト経由でIDとパスワードによる認証だけでマイナンバーを入力させるよりも安全にできる可能性がある(図3)。
図3 スマートメーターにおけるマイナンバーの取り扱い例
電力小売事業者、サービスプロバイダの変更時にマイナンバーを利用する場合、PCやスマートフォンからポータルサイト経由で手続きを行うパターンもあるが、HEMS端末経由でサービスを完結させることができれば、よりセキュアなサービスが可能になる。
この場合、入力されたナンバーの暗号化、専用線による接続、SSL通信(インターネットを利用する場合)といったガイドライン要件を満たしやすくなる可能性がある。なお、システム実装にあたっては、マイナンバーのコピーがシステムに残らないようにする工夫も必要となるだろう。
〔出所 著者作成〕
〔2〕スマートメーターのセキュリティガイドライン
スマートメーターのセキュリティ対策・仕様要件については、経済産業省のスマートメーター制度検討会セキュリティ検討ワーキンググループが、統一的なガイドラインの標準対策要件に盛り込むべき事項を公表している注7。ガイドラインは全10章で構成されており、それぞれのポイントを表1に示す。
表1 スマートメーターのセキュリティにおけるガイドラインに盛り込むべき要件
〔出所 http://www.meti.go.jp/press/2015/07/20150710001/20150710001-3.pdfを元に作成〕
スマートメーターセキュリティの基本的な考え方は、ISMS注8やISO27000シリーズ注9に準ずるものであり、システムの可用性・安定性も考慮した運用ルールや対策技術の導入、インシデント(事故)対応を説いている(図4)。運用中も問題点を洗い出し、インシデント対応の結果も評価して、改善サイクル(PDCA)を回すことも書かれている。攻撃に対する防御、通信路の暗号化、認証を伴うファームウェアのアップデートなどの指標も示されている。
スマートメーターやHEMSを考えるとき、このガイドラインをベースにして、リスク評価・分析の際にマイナンバー情報の入力の有無を加えて検討すればよいだろう。
図4 スマートメーターのセキュリティガイドラインにおけるPDCA
〔出所 http://www.meti.go.jp/press/2015/07/20150710001/20150710001-2.pdfの18ページ〕
◎Profil
中尾 真二(なかお しんじ)
フリーランスライター/中小企業向けニュースサイト「HANJO HANJO」編集長
1987年、中途で入社したアスキーでインターネット(とは言わなかったが)に接する。アスキーではオペレーティングシステムや情報通信に関する書籍を多数担当。アスキー退社後はオライリー・ジャパンで編集長となる(1997〜2003年)。独立後はITを軸にしつつセキュリティ・自動車・教育など幅広いジャンルで、紙・Web問わず取材および執筆活動を行う。セキュリティについては、関連書籍の企画・編集、業界動向や国際会議等の取材活動、JPCERT/CC職員(2009〜2013年:非常勤)、シンクタンクのリサーチャーとして国内外の調査実績がある。
▼ 注5
VPN:Virtual Private Network、インターネット上に外部に公開されない仮想的な専用回線(プライベートネットワーク)を構成する技術。
▼ 注6
SSL:Secure Socket Layer、ネットスケープコミュニケーションズ社が開発した、インターネット上で情報を暗号化して送受信するプロトコル。
▼ 注7
・スマートメーター制度検討会セキュリティ検討ワーキンググループ報告書:http://www.meti.go.jp/press/2015/07/20150710001/20150710001-2.pdf
・統一的なガイドラインの標準対策要件に盛り込むべき事項:http://www.meti.go.jp/press/2015/07/20150710001/20150710001-3.pdf
▼ 注8
ISMS:Information Security Management System、情報セキュリティマネージメントシステム。組織の情報セキュリティについて、リスク分析を行い必要な対策レベルや方法を決め、それを運用していくこと。その際重要とされるのは機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)といわれ、ISMSの運用にあたっては、状況を常に評価してPDCA(Plan:計画、Do:実施、Check:検証、Action:改善)サイクルを回していくこととされている。
▼ 注9
ISO27000シリーズ:ISO(国際標準化機構) とIEC(国際電気標準会議)が標準化を進める、情報セキュリティマネージメントシステム(ISMS)に関する国際規格群。